Briciole di pane
Elementi Navigazione
- Provvedimenti e normativa
- Regolamento Ue 2016/679
- Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali
- fondamenti di liceità del trattamento
Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici devono tenere presenti nell'applicazione del Regolamento. La presente Guida è soggetta a integrazioni e modifiche alla luce dell'evoluzione della riflessione a livello nazionale ed europeo.
INDICE
FONDAMENTI DI LICEITA' DEL TRATTAMENTO
Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
In particolare:
CONSENSO
COSA CAMBIA?
- Per i dati "sensibili" (si veda art. 9 regolamento) il consenso DEVE essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Si segnalano, al riguardo, le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo "Articolo 29" (WP 251), qui disponibili: www.garanteprivacy.it/regolamentoue/profilazione.
RACCOMANDAZIONI
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).
INTERESSE VITALE DI UN TERZO
COSA CAMBIA?
Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione (si veda considerando 46)
INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE O DI UN TERZO
COSA CAMBIA?
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell'interessato NON SPETTA all'Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di «responsabilizzazione» introdotto dal nuovo pacchetto protezione dati.
COSA NON CAMBIA?
L'interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell'interessato per costituire un valido fondamento di liceità.
Il regolamento chiarisce espressamente che l'interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
RACCOMANDAZIONI
Il Regolamento offre alcuni criteri per il bilanciamento in questione (si veda considerando 47) e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo "Articolo 29" sul punto (WP217).
Si confermano, inoltre, nella sostanza, i requisiti indicati dall'Autorità nei propri provvedimenti in materia di bilanciamento di interessi [si veda, per esempio, doc. web n 1712680 con riguardo all'utilizzo della videosorveglianza; doc. web n. 6068256 in merito all'utilizzo di sistemi di rilevazione informatica anti-frode; ecc.] con particolare riferimento agli esiti delle verifiche preliminari condotte dall'Autorità, con eccezione ovviamente delle disposizioni che il Regolamento ha espressamente abrogato (per es.: obbligo di notifica dei trattamenti).I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.
Normativa
Regolamento UE 2016/679 - INDICE DEI TEMI
- Regolamento Ue 2016/679 - Home
- Il testo del Regolamento
- Il testo del Regolamento (Ue) 2016/679 - Arricchito con riferimenti ai Considerando e aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018
- Il testo del Regolamento (Ue) 2016/679 come pubblicato sulla Gazzetta ufficiale dell'Unione europea
- Rettifica del Regolamento (Ue) 2016/679 (GU L 127 del 23.5.2018)
- Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali
- Le iniziative formative del Garante
- Responsabile della Protezione dei Dati - RPD
- Valutazione d'impatto sulla protezione dei dati
- Violazioni di dati personali - Data Breach
- Applicazione e definizione delle sanzioni amministrative, in base alle previsioni del Regolamento (UE) 2016/679 - Pagina informativa
- Trasparenza
- Diritto all'oblio
- Processi decisionali automatizzati e profilazione
- Diritto alla portabilità
- Data Protetion by Design e Data Protection by Default
- Consenso
- Autorità di controllo capofila
- Registro delle attività di trattamento - Pagina informativa
- Accreditamento degli organismi di certificazione
- Applicazione dell’art. 49 in materia di deroghe per il trasferimento di dati personali all’estero
- Il bilancio sull'applicazione del RGPD
- Trasferimento dati in caso di Hard Brexit